Incidents associés
C’est une histoire aussi vieille que… l’ère de l’Internet des objets. Des aspirateurs robots fabriqués par Ecovacs ont été signalés en train de se balader dans les maisons des gens, leur criant des blasphèmes via les haut-parleurs intégrés après que le logiciel de l’entreprise s’est avéré vulnérable aux intrusions.
ABC News en Australie rapporte qu’il y a eu récemment plusieurs cas aux États-Unis où des propriétaires d’aspirateurs Ecovacs ont remarqué que leurs appareils se comportaient de manière inhabituelle.
« Cela ressemblait à un signal radio interrompu ou quelque chose comme ça », a déclaré à la chaîne Daniel Swenson, propriétaire d’un Ecovac Deebot X2. « On pouvait entendre des bribes de voix peut-être. » Il a ouvert l’application mobile de l’aspirateur et a découvert qu’un inconnu accédait à la caméra en direct et à la fonction de commande à distance, mais il a supposé qu’il s’agissait peut-être d’une erreur. Après avoir réinitialisé le mot de passe et redémarré le X2, l’aspirateur a rapidement recommencé à fonctionner :
Cette fois, il n’y avait aucune ambiguïté sur ce qui sortait du haut-parleur. Une voix hurlait des obscénités racistes, haut et fort, juste devant le fils de M. Swenson.
« F*** n****** », hurlait la voix, encore et encore.
La meilleure partie de cette anecdote était peut-être la conclusion incrédule de Swenson selon laquelle la situation « aurait pu être pire ». Mais il a raison de dire que le pirate a été gentil de lui faire savoir que son aspirateur avait été piraté au lieu de l’espionner indéfiniment.
Le problème le plus courant que rencontrent les gens avec les appareils domestiques dits « intelligents » est qu’ils nécessitent souvent un abonnement logiciel pour accéder aux fonctionnalités de base, et si le fabricant fait faillite ou cesse de prendre en charge l’appareil, il devient simplement un presse-papier.
Le problème le plus inquiétant survient lorsque les appareils intelligents sont accessibles à distance et que le fabricant n’a jamais envisagé (ou pris en compte) la possibilité que des escrocs puissent en profiter pour tourmenter les gens dans leur propre maison. L’accès à distance est pratique, mais tous les deux ans, nous entendons parler de quelque chose d’énorme, comme des intrus accédant à un babyphone et chuchotant à travers lui la nuit, ou accédant à une porte de garage pour embêter son propriétaire. La plupart du temps, l’intention de ces intrus est simplement de faire des voyous. Mais on peut se demander combien de fois cela se produit et personne ne le sait.
Le problème est que la plupart de ces entreprises de domotique vendent du matériel grand public et ne veulent pas ou ne se soucient pas d’investir beaucoup dans la sécurité – c’est une considération de dernière minute pour un appareil électroménager. Vous pouvez acheter l’un des dizaines de robots aspirateurs sur Amazon ; la plupart des gens veulent juste le moins cher. Voilà donc ce que nous obtenons, une entreprise qui ne met pas en place de mesures de sécurité de base.
Et « basique » semble être juste ici. ABC a découvert que bien que les comptes Ecovacs soient protégés par un mot de passe et qu’un code PIN supplémentaire à quatre chiffres soit requis pour accéder au flux vidéo, ce code PIN n’est pas validé côté serveur – ce qui signifie que toute personne disposant des connaissances de base d’un outil comme Chrome Web Inspector pourrait le contourner. Il est possible que Swenson ait réutilisé les informations d’identification d’autres services – nous n’en sommes pas sûrs – mais le code PIN aurait dû être un facteur supplémentaire qui empêchait l’accès de toute façon. Au strict minimum, tout ce qu’Ecovacs doit vraiment faire est une validation de base « si c’est vrai » sur ses serveurs avant d’ouvrir le flux vidéo.
Selon certaines informations, Ecovacs aurait été informé de la vulnérabilité du Deebot X2 en 2023 par des chercheurs et n’aurait pris aucune mesure avant récemment. Selon l’entreprise, une mise à jour de sécurité plus importante sera publiée en novembre.
Cela peut paraître fou lorsqu’il s’agit d’un aspirateur, mais si vous envisagez d’acheter un aspirateur robot, assurez-vous de vous renseigner sur les mesures de sécurité du produit.